工控安全审计是面向工业控制网络，实时监测网络攻击和异常行为的硬件产品，满足国家等级保护的安全技术要求。

产品采用工业级的硬件设计，利用黑名单、白名单、自定义规则等多种安全策略，通过内置的工控协议深度解析引擎，实时监测工控网络中违规行为、异常流量和不明设备接入，让用户实时全面掌握工控网络安全运行状况；通过完整的记录并留存工控网络流量，为事后取证和溯源分析提供依据。

产品可广泛应用于电力、石油、石化、烟草、水利、轨道交通、智能制造等领域，为SCADA、DCS、PLC、以及智能终端等系统提供高效可靠的安全监测，满足行业政策法规及安全技术要求。

1.系统架构

工控安全审计系统逻辑架构划分为数据采集层、解析检测层、管理控制层，如下图所示：

数据采集层：负责原始报文的采集，包括：文件数据采集和流数据采集，初步攻击检测及信息汇聚与统计。

解析检测层：综合来自数据采集层的报文解析结果、初步检测结果及汇总统计信息，进行工控网络通信行为建模，并进行 TCP/IP异常检测、工控指令异常检测、网络会话异常检测、基于阈值的检测等各类安全检测，并支持基于用户自定义规则的检测。

管理控制层：接收来自分析检测层的数据及检测结果，一方面进行告警的展现，另一方面对数据进行持久化并进行多维度的统计分析和展现。

2.主要功能

2.1.工控协议深度解析

支持OPC、Modbus/TCP，IEC104，DNP3，Profinet，MMS，S7，GOOSE，SV、Ethernet/IP等数十种工控协议报文的深度解析和检测。例如报文格式检查、功能码控制、寄存器控制，连接状态控制等的检测。支持自定义格式的工控协议检测，基于插件形式扩展私有协议，支持私有协议行为审计。

2.2.工控行为规则自学习

基于对工控协议的深度解析，分析工控协议通信行为过程，自动学习基于工控协议的操作行为和规则，对正常工控协议的通信行为建立模型，以此作为可信白名单防护的基线，并可通过自定义规则进行强化，可准确识别不合规操作等异常通信行为并产生告警。

2.3.实时工控网络监测

默认通过旁路的方式（也可以串接）对工控网络进行实时监测，对协议、流量等元素进行统计分析，实时显示网络的状态。

2.4.实时工控入侵检测

实时检测工控网络中的攻击行为，利用内置的工控威胁库，根据已知的威胁特征建立检测规则，对网络中的工控漏洞攻击、病毒攻击等入侵行为进行实时告警。

2.5.工控异常状态检测

系统基于对工控协议的通信报文进行采集与深度解析，对协议、流量等元素进行统计分析，实时显示网络的运行状态。采用异常流量检测方法，通过对网络流量、通信行为建立模型基线，识别异常流量和异常通信行为并产生告警，可准确识别如：异常指令操作、异常网络连接、不明接入设备（IP地址）等异常状态。支持工业协议无流量检测功能，可持续监测指定工业协议的通信状态，对流量异常中断事件进行实时报警。

2.6.流量分析可视化

支持图形化的事件显示、网络流量监控，给用户提供丰富的图形报表。

2.7.安全审计及响应

完整记录工业网络的重要操作行为、网络会话、异常告警、原始报文，对安全事件进行审计，及时追溯安全事件的轨迹，便于事后调查取证和回溯分析。独立的告警响应机制，可定义对不同安全级别的安全事件的响应方式。

2.8.网络数据安全留存

系统默认对所有工控网络的原始数据进行加密存储，审计数据可留存六个月及以上时间，也可根据用户自定义设置数据留存事件，满足行业相关的合规性要求。

3.应用部署

3.1.适用范围

产品可广泛用于油气、石化、市政、环保、交通、烟草、智能制造、能源（电力）、冶金等各行业客户。为行业客户的工业控制系统提供适当的安全监测与审计，提升其工控网络的安全防范能力。

工业交换机镜像端口

首先，在站控层的工业以太网中，每个工业交换机位置旁路部署一台“审计设备”，“审计设备”通过交换机镜像口复制一份经过该交换机的所有网络流量。

分布部署集中管理

控制中心网络中，部署一台“安全审计管理中心”，实现对分布式部署在站控层的多台“审计设备”的集中管理：